Zeker 100.000 Dell-gebruikers lopen risico door een lek in de Dell System Detect supporttool waardoor een aanvaller in het ergste geval het systeem volledig kan overnemen als er een verkeerde website wordt bezocht. Dell System Detect wordt op de supportpagina van Dell aangeboden en helpt bij het vinden van de benodigde drivers voor de computer. Onderzoeker Tom Forbes ontdekte een kwetsbaarheid in het programma waardoor een aanvaller willekeurige code op de computer kan uitvoeren, zoals het installeren van malware.

System Detect installeert een webserver die op poort 8884 naar inkomende berichten van de Dell website luistert. Dell bleek echter niet goed te controleren of deze inkomende berichten ook daadwerkelijk van de Dell-website afkomstig zijn. Zo werden ook verzoeken van domeinen met daarin de tekst "Dell" geaccepteerd. Zodra de gebruiker een domein met daarin de tekst "Dell" bezoekt zou dit domein een verzoek kunnen sturen dat de computer accepteert.

De tool bleek daarnaast niet alleen de Service Tag van de computer weer te geven voor het zoeken naar drivers, maar ook andere mogelijkheden te bieden, zoals het downloaden en installeren van bestanden. Ook bij het downloaden en installeren van bestanden schoot de controle tekort, waardoor Forbes malware naar een computer kon sturen zodra een domein met daarin "Dell" werd bezocht.

Het probleem wordt vergroot doordat System Detect na de installatie in de achtergrond actief blijft en zich na een herstart van het systeem weer automatisch zal starten. Forbes waarschuwde Dell, dat een update uitbracht. Daarin werd gekeken of het domein ".dell." bevatte, Daardoor was het nog steeds mogelijk om een aanval uit te voeren door bijvoorbeeld een subdomein als dell.domeinnaam.tld aan te maken.

Patch

Deze week heeft Dell weer een nieuwe versie (6.0.14) uitgebracht die ervoor zorgt dat alleen verzoeken van "*.dell.com" worden geaccepteerd. Daarnaast zal de software niet meer automatisch starten. Het probleem is echter dat oudere versies van de software zichzelf niet automatisch updaten en gebruikers mogelijk niet meer weten dat ze die ooit geïnstalleerd hebben.

Het Finse anti-virusbedrijf deed een scan onder klanten van het bedrijf en ontdekte zo'n 100.000 computers waar System Detect op was geïnstalleerd. Slechts 1% daarvan beschikt over de meest recente versie. Het werkelijke aantal Dell-computers met kwetsbare versies van System Detect ligt waarschijnlijk vele malen hoger, omdat de 100.000 kwetsbare gebruikers alleen klanten van F-Secure zijn. De nieuwste versie van System Detect is via deze pagina te downloaden.